三級等級保護下醫(yī)院網(wǎng)絡(luò)邊界安全的防護與設(shè)計

◆魏帥嶺 侯立根 李 星 白 雷

三級等級保護下醫(yī)院網(wǎng)絡(luò)邊界安全的防護與設(shè)計

◆魏帥嶺 侯立根 李 星 白 雷

（邯鄲市中心醫(yī)院信息科 河北 056001）

隨著信息技術(shù)的迅猛發(fā)展和互聯(lián)網(wǎng)+醫(yī)療的興起，信息安全在醫(yī)院信息化建設(shè)中越來越重要。2017年，國家網(wǎng)絡(luò)安全法正式生效，信息安全等級保護工作全面展開。如何在醫(yī)院的網(wǎng)絡(luò)邊界建立安全、可靠、高效的防護體系，是醫(yī)院的信息化建設(shè)中面臨的重要課題。本文按照等級保護的要求，對醫(yī)院的網(wǎng)絡(luò)邊界的現(xiàn)狀和需求進行了系統(tǒng)的分析。同時結(jié)合健康管理系統(tǒng)，介紹了醫(yī)院構(gòu)建的以下一代防火墻及網(wǎng)閘為核心的網(wǎng)絡(luò)邊界安全系統(tǒng)。

信息安全；等級保護；網(wǎng)絡(luò)邊界；醫(yī)院信息化

近年來，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，醫(yī)院信息化程度已成為醫(yī)院現(xiàn)代化的重要指標，以“互聯(lián)網(wǎng)+醫(yī)療”為代表的新興熱點不斷沖擊著傳統(tǒng)醫(yī)療行業(yè)。信息安全的重要性也隨之不斷提升，醫(yī)院信息系統(tǒng)的安全和穩(wěn)定將直接關(guān)系到醫(yī)院的正常運行。

近年來，各種信息安全事故頻發(fā)，對醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)的安全造成嚴重的威脅。2017年6月1號，《中華人民共和國網(wǎng)絡(luò)安全法》正式施行，條文中明確規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度，標志著醫(yī)院信息安全建設(shè)進入了一個新的階段。

2017年10月份我院信息系統(tǒng)正式通過了評審驗收，達到信息系統(tǒng)安全等級保護三級標準。同時根據(jù)新形勢、新要求不斷持續(xù)改進提升，在2018年底再度通過三級等級保護的復(fù)審。其中網(wǎng)絡(luò)邊界的安全防護是等級保護要求中的重要內(nèi)容。把安全級別不同的網(wǎng)絡(luò)相連，就有了網(wǎng)絡(luò)邊界，需要在網(wǎng)絡(luò)邊界上面建立安全的、可靠的防御措施，以此來防止來源于網(wǎng)絡(luò)外界的病毒、黑客、網(wǎng)絡(luò)攻擊等等的惡意或未授權(quán)的入侵行為。

1 現(xiàn)狀與分析

1.1 醫(yī)院網(wǎng)絡(luò)邊界現(xiàn)狀

目前醫(yī)院網(wǎng)絡(luò)邊界的數(shù)據(jù)交互主要兩個特點，一個是訪問數(shù)據(jù)量大，另一個是網(wǎng)絡(luò)復(fù)雜性高。

圖1 醫(yī)院網(wǎng)絡(luò)系統(tǒng)

如圖1所示，現(xiàn)階段由于醫(yī)院業(yè)務(wù)的需求，內(nèi)網(wǎng)系統(tǒng)需要與諸多外部系統(tǒng)進行數(shù)據(jù)交換。主要的交換分為三種：第一，諸如城鄉(xiāng)職工醫(yī)療保險、用血直報結(jié)算等傳統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)；第二，隨著互聯(lián)網(wǎng)+醫(yī)療的發(fā)展，移動支付、手機預(yù)約掛號、手機檢驗報告查詢、健康體檢管理、導(dǎo)診機器人、云存儲備份等移動互聯(lián)系統(tǒng)的需求和使用越來越廣泛，與互聯(lián)網(wǎng)的數(shù)據(jù)交互也與日俱增；第三，為了響應(yīng)分級診療政策及滿足精準醫(yī)療需求，醫(yī)院建立了邯鄲市醫(yī)療聯(lián)合體大數(shù)據(jù)中心和精準醫(yī)療中心，簽約合作的醫(yī)療機構(gòu)數(shù)量與日增加，相關(guān)專用通信網(wǎng)絡(luò)的業(yè)務(wù)量也呈快速上升趨勢。這就形成了復(fù)雜的、高并發(fā)的及高交換量的網(wǎng)絡(luò)邊界，網(wǎng)絡(luò)邊界的安全維護形勢嚴峻。

另一方面，網(wǎng)絡(luò)邊界的復(fù)雜性不僅體現(xiàn)在網(wǎng)絡(luò)線路上，還體現(xiàn)網(wǎng)絡(luò)邊界訪問類型上。隨著醫(yī)院涉外網(wǎng)絡(luò)業(yè)務(wù)的增多，醫(yī)院內(nèi)網(wǎng)對外部開放的端口也相應(yīng)地增加。同時各軟件和服務(wù)廠家使用的服務(wù)類型也不盡相同，醫(yī)院網(wǎng)絡(luò)邊界涉及的網(wǎng)絡(luò)服務(wù)訪問類型也越來越多樣化，如健康管理系統(tǒng)使用IIS、預(yù)約掛號系統(tǒng)使用Webservice、藥品管理系統(tǒng)使用Tomcat、兒保系統(tǒng)使用Apache等。

1.2 邊界安全需求

邊界訪問控制：訪問控制是邊界安全中最基本的需求，能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，實現(xiàn)端口級的控制精度；同時對進出網(wǎng)絡(luò)的信息內(nèi)容進行檢查，對數(shù)據(jù)流合法性進行識別。

邊界完整性檢測：根據(jù)《信息系統(tǒng)安全等級保護基本要求》，應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準許私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查。在檢測時應(yīng)做到以下幾點：

（1）對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷；

（2）對內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查，準確定出位置，并對其進行有效阻斷。

邊界惡意代碼防范：病毒爆發(fā)呈上漲趨勢，病毒與黑客程序相結(jié)合，蠕蟲病毒更加泛濫，2017年上半年勒索病毒爆發(fā)就是典型的實例。邊界惡意代碼防范主要需要實現(xiàn)以下功能：

（1）應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除；

（2）應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新。

1.3 設(shè)計原則

重點保護原則：根據(jù)醫(yī)院信息系統(tǒng)的特點、重要性和等級保護的要求，劃分各系統(tǒng)的安全保護等級，集中優(yōu)勢資源保護核心，實現(xiàn)重點系統(tǒng)重點保護，最終效果滿足《信息系統(tǒng)安全等級保護基本要求》的規(guī)定。

全面防護原則：充分考慮到各個層面的安全風險，在技術(shù)層面進行安全防護措施設(shè)計，兼顧管理措施的設(shè)計，雙管齊下，保證各種安全措施形成一個縱深的安全防護體系，保證信息系統(tǒng)整體的安全保護能力。

動態(tài)調(diào)整原則：醫(yī)院網(wǎng)絡(luò)安全等級保體系的建設(shè)是一項持續(xù)性工程，因此要根據(jù)信息系統(tǒng)實時的變化情況，動態(tài)調(diào)整安全保護措施，有步驟、有計劃的推進醫(yī)院網(wǎng)絡(luò)安全體系的建設(shè)。

2 主要安全設(shè)備及功能

2.1 防火墻

防火墻的是實質(zhì)是一種隔離技術(shù)，主要是通過防火墻上的安全策略將信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離，對未經(jīng)授權(quán)的訪問和數(shù)據(jù)進行篩選，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，同時，還能夠記錄用戶的操作及訪問記錄，保護內(nèi)網(wǎng)的數(shù)據(jù)安全。防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。在防火墻上進行安全訪問控制策略設(shè)置，實現(xiàn)特定的用戶才能通過特定端口訪問特定服務(wù)與數(shù)據(jù)。

醫(yī)院使用的下一代防火墻除了傳統(tǒng)的防護功能外，安全同時包含入侵檢測防御（IPS）系統(tǒng)、防病毒（AV）、web應(yīng)用防護（WAF）和抗拒絕服務(wù)等模塊。

入侵檢測是一種主動保護網(wǎng)絡(luò)免受攻擊的安全技術(shù)，通過對數(shù)據(jù)包的實時監(jiān)測，及時監(jiān)測出入侵者對網(wǎng)絡(luò)和數(shù)據(jù)發(fā)起的攻擊，當監(jiān)測到攻擊時，能夠記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并在。發(fā)生嚴重入侵事件時應(yīng)提供報警。在策略中添加了入侵檢測防御功能和防病毒功能，實現(xiàn)了對CGI攻擊、RPC攻擊、信息竊取、網(wǎng)絡(luò)數(shù)據(jù)庫攻擊、端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和蠕蟲攻擊等安全威脅的有效防護。

病毒防護模塊能夠?qū)粨Q的數(shù)據(jù)進行防病毒掃描，從而確保系統(tǒng)和數(shù)據(jù)的安全。

Web安全防護是針對web應(yīng)用服務(wù)器的安全防護（健康管理、移動辦公OA），WAF通過對來自Web應(yīng)用程序客戶端的各類請求進行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求，如SQL注入、CSRF攻擊、跨站點腳本、惡意掃描等攻擊進行有效的實時阻斷。

2.2 網(wǎng)閘

網(wǎng)閘（GAP）全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備，網(wǎng)閘能夠?qū)崿F(xiàn)物理隔離。網(wǎng)閘分為2+1結(jié)構(gòu)及三層結(jié)構(gòu)。醫(yī)院內(nèi)采用主要是三層結(jié)構(gòu)網(wǎng)閘，如圖2所示，硬件主要由三部分組成：外部處理單元（外端機）、內(nèi)部處理單元（內(nèi)端機）、仲裁處理單元（仲裁機），各單元之間采用了隔離安全數(shù)據(jù)交換單元，內(nèi)端機和外端機通過專用硬件與仲裁機相連。

圖2 三層結(jié)構(gòu)網(wǎng)閘的物理結(jié)構(gòu)及仲裁系統(tǒng)結(jié)構(gòu)

網(wǎng)閘所連接的兩個獨立主機系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議"擺渡"，且對固態(tài)存儲介質(zhì)只有"讀"和"寫"兩個命令。由仲裁機擔任的“安全檢查員”對從網(wǎng)絡(luò)協(xié)議包中剝離出來的應(yīng)用層信息進行安全檢查，與此同時，仲裁系統(tǒng)還會對檢查結(jié)果進行審計。所以，安全隔離網(wǎng)閘在物理上實現(xiàn)了隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。

網(wǎng)閘采用硬件加密和密碼相結(jié)合方式，只有通過跨域管理中心，使用專用的登錄工具，才能對網(wǎng)閘進行管理和配置，同時系統(tǒng)提供管理員身份鑒別功能，并借助強有力的安全策略來保證鑒別的有效性和安全性，如使用硬件秘鑰。對于特定的應(yīng)用，如FTP、HTTP、郵件、Telnet、數(shù)據(jù)庫，都有獨立的交換策略，需要做出針對性的配置。

3 防護體系設(shè)計及測試

3.1 應(yīng)用實例

本文以醫(yī)院的健康管理系統(tǒng)為例，說明我院網(wǎng)絡(luò)邊界的安全設(shè)計。健康管理系統(tǒng)是我院互聯(lián)網(wǎng)+醫(yī)療戰(zhàn)略重要組成部分，該系統(tǒng)專門針對體檢中心用戶使用的應(yīng)用。體檢用戶在體檢之后可以通過APP、微信或網(wǎng)頁端，在手機或者電腦上通過互聯(lián)網(wǎng)隨時查看自己的體檢結(jié)果、體檢報告。同時根據(jù)體檢結(jié)果及以往的體檢數(shù)據(jù)，該系統(tǒng)能夠為用戶提供動態(tài)與靜態(tài)的健康分析結(jié)果及針對性的建議等信息，是實現(xiàn)互聯(lián)網(wǎng)+醫(yī)院的重要戰(zhàn)略。

圖3 醫(yī)院健康管理系統(tǒng)拓撲圖

健康管理系統(tǒng)數(shù)據(jù)庫位于醫(yī)院內(nèi)部業(yè)務(wù)網(wǎng)的體檢中心服務(wù)器上，Internet訪問其數(shù)據(jù)和服務(wù)首先要訪問到醫(yī)院辦公網(wǎng)，再由醫(yī)院外網(wǎng)訪問醫(yī)院內(nèi)網(wǎng)，這主要涉及兩個邊界，互聯(lián)網(wǎng)公網(wǎng)與醫(yī)院外網(wǎng)，醫(yī)院外網(wǎng)核心與醫(yī)院內(nèi)部業(yè)務(wù)網(wǎng)。我們通過采用前置服務(wù)器的方式，將網(wǎng)閘應(yīng)用到防護系統(tǒng)當中，在傳統(tǒng)的DMZ區(qū)域防護的基礎(chǔ)上構(gòu)建了專用于訪問醫(yī)院內(nèi)網(wǎng)服務(wù)和數(shù)據(jù)的前置區(qū)域。將健康管理的IIS應(yīng)用部署到前置機上，端口為4415，在防火墻上啟用策略，只允許DMZ區(qū)域的醫(yī)院辦公網(wǎng)訪問前置機的4415端口，同時在公網(wǎng)防火墻上也部署策略，只開放前置機對應(yīng)地址的4415端口，實現(xiàn)公網(wǎng)訪問前置機的IIS。在網(wǎng)閘上開放體檢中心服務(wù)器的1521端口，使前置機能夠訪問健康管理的數(shù)據(jù)庫。

第一層防護：實現(xiàn)公網(wǎng)與醫(yī)院外網(wǎng)核心交換機的隔離，醫(yī)院互聯(lián)網(wǎng)邊界安全的第一道防線；第二層防護：實現(xiàn)外置機與醫(yī)院互聯(lián)網(wǎng)隔離。第二層防火墻與第三層網(wǎng)閘之間形成前置區(qū)域，前置機對外網(wǎng)及內(nèi)網(wǎng)的數(shù)據(jù)訪問分別通過防火墻和網(wǎng)閘實現(xiàn)了嚴格的控制；第三層防護：前置機與內(nèi)網(wǎng)之間。

第一層和第二層邊界的防護措施主要由防火墻構(gòu)成，入侵檢測防御（IPS）系統(tǒng)、防病毒、web應(yīng)用防護和抗拒絕服務(wù)部署在這兩層防御體系中。第三層防護主要由網(wǎng)閘組成，將健康管理服務(wù)部署到外置機上，然后前置機通過網(wǎng)閘實現(xiàn)與內(nèi)網(wǎng)體檢服務(wù)器的數(shù)據(jù)交換，實現(xiàn)醫(yī)院內(nèi)部網(wǎng)與外網(wǎng)的物理隔絕，從而構(gòu)筑的內(nèi)網(wǎng)系統(tǒng)與外部網(wǎng)絡(luò)的最后一道堅固防線。

這樣一方面實現(xiàn)了醫(yī)院內(nèi)網(wǎng)與外網(wǎng)的硬件隔離，將數(shù)據(jù)交換程序部署到前置區(qū)域的前置機上，同時在醫(yī)院的網(wǎng)絡(luò)邊界實現(xiàn)了如圖3所示的三層邊界防護系統(tǒng)，形成了縱深防御系統(tǒng)。

3.2 測試結(jié)果

2018年12月，我院與第三方公司配合進行網(wǎng)絡(luò)邊界滲透測試，未發(fā)現(xiàn)漏洞。

2019年8月，邯鄲市公安局網(wǎng)監(jiān)對全市29家醫(yī)院、學(xué)校等事業(yè)單位進行網(wǎng)絡(luò)安全攻防演練，通過外網(wǎng)邊界對業(yè)務(wù)內(nèi)網(wǎng)進行入侵滲透測試。演練持續(xù)兩天，醫(yī)院網(wǎng)絡(luò)邊界防護系統(tǒng)對網(wǎng)監(jiān)的7次攻擊進行了有效的阻斷。

4 結(jié)束語

總而言之，基于等級保護的要求，結(jié)合醫(yī)院的實際網(wǎng)絡(luò)和系統(tǒng)應(yīng)用情況，對醫(yī)院的網(wǎng)絡(luò)邊界安全設(shè)計進行研究，制定完整的安全設(shè)計方案具有重要意義：在促進了醫(yī)院等級保護工作的順利開展同時，提升醫(yī)院信息系統(tǒng)安全性，保證醫(yī)院網(wǎng)絡(luò)安全。通過設(shè)計安裝下一代防火墻、網(wǎng)閘等多設(shè)備構(gòu)建了多層次縱深保護體系，大大提高了網(wǎng)絡(luò)邊界的安全防御能力，將安全風險進一步降低，有效保證了醫(yī)院的信息網(wǎng)絡(luò)安全。同時，醫(yī)院的信息安全工作是一項動態(tài)的持續(xù)性工作，根據(jù)醫(yī)院信息系統(tǒng)的變化和等級保護要求的變更，需要不斷調(diào)整和改進信息安全防護體系。

[1]GA/T 1390.5-2017 《網(wǎng)絡(luò)安全等級保護基本要求》.

[2]郎漫芝，王暉，鄧小虹.醫(yī)院信息系統(tǒng)信息安全等級保護的實施探討[J].計算機應(yīng)用與軟件，2013，30（1）：206-208.

[3]王俊.基于等級保護的醫(yī)院網(wǎng)絡(luò)區(qū)域邊界安全研究[J]. 中國數(shù)字醫(yī)學(xué)，2013，8（3）：96-98.

[4]張健.等保體系中的邊界安全設(shè)計[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（3）：87-87.

[5]鄒陸曦，胡廣祿，孫玲.三甲醫(yī)院信息安全等級保護的實施及應(yīng)用[J].中國數(shù)字醫(yī)學(xué)，2015（2）：84-86.

[6]王穎.加強醫(yī)院信息系統(tǒng)安全管理[J].中國病案，2009， 10（7）：26-27.

[7]王磊，魏曉艷，郎爽，等.醫(yī)院信息安全等級保護三級評測的應(yīng)用與實踐[J].中國數(shù)字醫(yī)學(xué)，2015（2）：81-83.

[8]顏海威.醫(yī)院信息系統(tǒng)三級等保建設(shè)思路[J].電腦知識與技術(shù)，2016，12（30）：40-41.

[9]王洲.醫(yī)院內(nèi)外網(wǎng)互聯(lián)中的邊界安全防護[J].電腦編程技巧與維護，2015（6）：89-91.

[10]胡建理，李小華，周斌. 一種基于安全隔離網(wǎng)閘技術(shù)的醫(yī)院內(nèi)部網(wǎng)安全解決方案[J].醫(yī)療衛(wèi)生裝備，2010，31（7）：44-45.